EUROPA PRESS
MADRID, 24 Fernando Saavedra, Áudea Seguridad de la Información
Siempre que hablamos de vulnerabilidades, pensamos en cualquier brecha de seguridad que tienen nuestros sistemas de información, servidores, puestos de usuario, elementos de red, aplicaciones, puntos de acceso y un largo etcétera que compone toda la infraestructura de la mayoría de las empresas. Las organizaciones centran todos sus esfuerzos en securizar todas estas partes de sus plataformas, pero ¿quién securiza al usuario?
La mayor parte de las personas que trabajan en las compañías no poseen conocimientos de seguridad, y por ende, en la mayoría de los casos son una gran brecha de seguridad en sí mismos. Tenemos algún caso reciente en empresas de gran prestigio, en el que alguno de estos usuarios ha sido el encargado de "abrir la puerta" a los diferentes ataques que se han producido en las mismas y, en la mayoría de los casos, sin ser conscientes de ello y produciendo pérdidas millonarias para las compañías.
Un ejemplo lo tenemos en el caso de WannaCry, 'ransonware' que afectó a grandes empresas el pasado mes de mayo. Este aprovecha una vulnerabilidad en los sistemas de información para expandirse por las redes de las empresas, pero se demostró que en muchos casos el foco de infección principal fue un usuario.
FOCOS DE INFECCIÓN
Respecto a esto, cabe destacar algunos de focos de infección en los que suele ser más común que los propios usuarios podamos abrir una puerta trasera a un posible atacante que dirija alguna campaña contra los propios usuarios:
- Correos electrónicos maliciosos: Mediante la apertura de 'emails' que simulan cualquier tipo de servicio en los que se puede pinchar en un enlace para algún fin --clonación de páginas confiables, mensaje de facturación de suministros, entrega de paquetes...-- o descargar algún archivo infectado.
Aprovechando técnicas como estas, los autores del ciberataque pueden conseguir que la víctima llegue a descargarse un virus en su propio equipo o aprovecharse de alguna vulnerabilidad para tener la posibilidad de expandirse por la red o tener controlado el ordenador.
Como ejemplo de este tipo de ataque está el 'phishing', consistente en el empleo de un correo electrónico en el que se simula ofrecer a un cliente una factura de una compañía eléctrica que se tiene que descargar. El propio fichero a descargar en realidad no es dicha factura, sino un virus que infectará el equipo.
- Contacto telemático/físico: Utilizando cualquier tipo de interacción directa con una persona --mensajería instantánea, redes sociales, llamadas telefónicas-- es posible infectar o sacar información confidencial al propio usuario
Como ejemplo de este tipo de ataques, se puede realizar una llamada telefónica a un empleado cualquiera de una compañía, simulando pertenecer al equipo informático de la misma, y transmitirle que hay algún problema en la red debido a su equipo y que necesita su usuario y contraseña para solucionarlo.
- Distribución de memorias USB o códigos QR: Se trata del abandono intencionado de un dispositivo de almacenamiento USB, de material impreso con códigos QR o de cualquier otro mecanismo con el que cualquier usuario pueda ser infectado.
Un ejemplo de este tipo de ataques sería dejar un 'pendrive' con un 'malware' diseñado al efecto en una mesa de la oficina de una compañía. Cualquier trabajador podría insertarlo en su equipo, y por ende proceder a su infección.
LOS RIESGOS DEL DÍA A DÍA
Además de estas brechas de seguridad, el propio día a día de los usuarios hace cometer algunos errores de seguridad que pueden permitir también tener expuestos sus sistemas y, por consiguiente, su información y la de la compañía. Alguno de estos errores más comunes son:
- No poseer antivirus en los sistemas o tenerlos desactualizados.
- Navegar por páginas web no confiables que pueden provocar instalaciones maliciosas no deseadas.
- Poseer 'software' no actualizado.
- Descargar 'software' de fuentes no oficiales.
- Utilizar programas 'crackeados' para no tener que comprar licencias.
- No tener una política de contraseñas robusta.
En resumen, todo usuario tiene que ser consciente de los peligros que puede suponer en sí mismo para las compañías y tener una concienciación en seguridad, ya que de nada sirve tener securizados los sistemas de la información de la empresa o tener el antivirus correctamente configurado y actualizado, si después tenemos, por ejemplo, un 'pos-it' con nuestro usuario y contraseña pegado al ordenador o pantalla.
En Áudea tenemos una amplia experiencia en programas de concienciación de las empresas, y los resultados tan poco satisfactorios de algunas campañas de ingeniería social --aquellas prácticas mediante las que un ciberatacante trata de obtener acceso a determinados sistemas utilizando a los usuarios-- realizadas contra las mismas nos hacen pensar que la peor vulnerabilidad que puede existir en cualquier contexto es el usuario, y por ello hay que invertir tiempo en securizar lo máximo al mismo.